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(57) Abstract: The invention relates to a method for the distributed creation of a program for a programmable portable data carrier 
(10), for example, a chip card. To this end, program source text (Q) is created on a user computer (20), compiled and linked to 
executable program code (C) on a spatially separate compiler server (30), and the executable program code (C) is loaded into the 
data carrier (10) once again via the user computer (20). A secure end-to-end link is established for conducting an exchange of data 
between the data carrier (10) and the compiler server (30). To this end, the data carrier (10) is provided, in a pre-completion step, 
with software tools for final processing, which permit a transport code (U, C^si, UCsm) provided in a transition format to be converted 
into executable program code (C). The transport code (U, Cssi, UCsm) is secured by encoding mechanisms. The transmission of the 
executable program code (C), which is generated by the compiler server (30), ensues in the transition format (U, C^si, UCsm)- 

[Fortsetzung auf der ndchsten Seite] 
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(57) Zusammenfassung: Vorgeschlagen wird ein Verfahren zur verteilten Erstellung eines Programmes fiir eine programmierbaren, 
tragbaren Datentrager (10), z.B. einer Chipkarte. Dabei erfolgen die Erstellung des Programmquelltextes (Q) auf einem Nutzercom- 
puter (20), Compilierung und linken zu ausftihrbarem Programmcode (C) auf einem raumlich getrennten Compilerserver (30) und 
das Laden des ausfuhrbaren Programmcodes (C) in den Datentrager (10) wieder iiber den Nutzercomputer (20). Fiir den Datenaus- 
tausch zwischen Datentrager (10) und Compilerserver (30) wird eine sichere Ende-zu-Ende Verbindung aufgebaut. Der Datentrager 
(10) wird dazu in einem Vorkomplettierangsschritt mit Softwarewerkzeugen zur Endbearbeitung ausgestattet, die es erlauben, einen 
im einem Ubergangsformat vorliegenden Transportcode (U, Cssi, UCsm) in ausfuhrbaren Programmcode (C) zu wandeln. Der Trans- 
portcode (U, Cgsi, UCsm) ist durch Verschliisselungsmechanismen gesichert. Die Ubertragung des durch den Compilerserver (30) 
erzeugten, ausfuhrbaren Programmcodes (C) an den Datentrager (10) erfolgt im Ubergangsformat (U, Cssi, UCsm)- 
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Verfahren und System zur verteilten Erstellung eines Programms fur einen 
programmierbaren. tragbaren Datentrager 

5 Die Erfindung betrifft die manipulationssichere Erstellung von ausfiihrba- 
rem Programmcode fiir programmierbare tragbare Datentrager, vorzugs- 
weise in Gestalt von Chipkarten. 

Aus der US-A-6,023,565 ist ein Verfahren zur verteilten Erstellung eines Pro- 

10 grammes fiir einen programmierbaren Logikschaltkreis bekannt. Einem 

Nutzer, der mittels eines bei ihm bef indlichen Computers ein Programm fiir 
einen derartigen Schaltkreis erstellen m5chte, wird danach vom Hersteller 
der Schaltkreise eine einfach bedienbare Nutzerschnittstelle bereitgestellt. 
Damit beschreibt der Nutzer auf seinem Computer die fiir den Logikschalt- 

15 kreis gewiinschte Funktionalitat. Die Beschreibung erfolgt mentigefuhrt iiber 
Eingabemasken, mittels derer vorbereitete Paraimeter f estgelegt v^erden. Der 
resultierende, die gewunschte Schaltkreisfunktionalitat beschreibende Para- 
meterdatensatz wird liber ein Datennetz an einen Computer des Schaltkreis- 
herstellers gesandt. Dieser compiliert den Parameterdatensatz und erzeugt 

20 ein lauffahiges Programm mit der vom Nutzer gewiinschten Funktionalitat. 
Das lauff ahige Programm sendet der Hersteller zuriick an den Computer des 
Nutzers, welcher es in eine Programmierungsbefehlsf olge umsetzt und diese 
an den Logikschaltkreis iibertrSgt. Indem die Programmerstellung aiif das 
dialoggef lihrte Eingeben von Parametern reduziert ist, ermoglicht das Kon- 

25 zept auch Nutzern ohne weitreichende Programmierkenntnisse die Erstel- 
lung von Programmen fiir Logikschaltkreise. Eine Programmerstellung ist 
dabei moglich, ohne dafi der Nutzer iiber eine Compilersoftv^are verfiigt. 
Das Konzept stellt darauf ab, die Anwendungsfreundlichkeit eines struktur- 
bedingt schwer handzuhabenden technischen Systems zu verbessern. Vor- 

30 kehrungen zum Schutz der zwischen den beteiligten Computern ausge- 

tauschten Daten gegen Manipulation werden nicht getroffen. Das Konzept 
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eignet sich deshalb nicht fiir Anwendungen, in denen es besonders auf einen 
Schutz der erzeugten Progrcurtmdaten gegen Ausforschung und Manipulati- 
on ankommt. Insbesondere eignet es sich in der beschriebenen Form nicht 
zur Erstellung von Programmen fiir Chipkarten, mittels derer sicherheitsre- 
5 levante Transaktionen, etwa Bankgeschaf te, ausgef lihrt werden sollen. 



Aus der US 6,005,942 ist ein Verfahren zum sicheren Einbringen einer lauff a- 
higen Applikation auf eine bereits im Feld befindliche Chipkarte bekannt. 
Das Verfahren ermoglicht es Applikationsanbietern, unter Einschaltung des 

10 Kartenherausgebers zu beliebigen Zeitpunkten wShrend des Lebenszyklus 
einer Chipkarte weitere Applikationen auf eine Karte zu bringen. Das nach- 
tragliche Laden einer lauffahigen Applikation wird mittels einer speziellen 
Kartendomain-Routine ermOglicht, die dem Herausgeber der Karte zuge- 
ordnet ist und die Schlussel und kryptographische Mechanismen verwaltet. 

15 Die Kartendomain-Routine wird unterstiitzt von Sicherheitsroutinen, die 
ebenfalls Schlussel und kryptographische Mechanismen verwalten, welche 
aber dem Applikationsanbieter zugeordnet sind und nachzuladende Appli- 
kationen gegentiber dem Kartenherausgeber sichern. Nachzuladende Appli- 
kationen sind verschliisselt, werden von der Kartendomain-Routine mit Un- 

20 terstiitzung.der Sicherheitsroutinen entschliisselt und in die Karte geladen. 
Beim Laden erfolgt die Prufung einer kryptographischen Signatur. Auf die 
Erstellung der nachzuladenden Applikationen ausgehend von einem Appli- 
kationsprogrammquelltext geht die Schrift nicht ein. 

25 Aus der WO 99/12307 ist ein Verfahren zur Verteilung von kommerzieller 
Software ausgehend von einem Softwarehersteller iiber Zwischenhandler an 
Endabnehmer bekannt. Beschrieben wird eine Methode, die es den Zwi- 
schenhandlern erlaubt, einer zu verteilenden Software Zusatzinformationen 
hinzuzuftigen, ohne dafi die Sicherheit des ausfiihrbaren Kerncodes der zu 
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verteilenden Software dabei beeintrachtigt wird. Erreicht wird dies durch ei- 
ne spezielle Versenderoutine, die eine zu verteilende Software verschliisselt 
und mit einer besonderen Verteilungsinf ormationstabelle versieht. Nur in 
der letzteren konnen die Zwischenhandler Anderungen vornehmen oder Er- 
5 ganzungen anbringen. 

Chipkarten, die das Nachladen von ausf iihrbaren Programmcode erlauben, 
sowie die Einbringung nachzuladenden Programmcodes in Chipkarten sind 
z.B, im ^Handbuch der Chipkarten" von W. Rankl, W. Effing, Hansa Verlag 

10 Munchen, 3. Auflage, beschrieben. Die Progranunerstellung erfolgt danach 
voUstandig auf einem Hintergrundsystem. Der erstellte ausftihrbare Pro- 
grammcode wird iiber eine, z.B. durch eine gegenseitige Authentisierung ge- 
sicherte Schnittstelle auf die Chipkarte xibertragen. Aus Sicherheitsgriinden 
erfolgt die Einbringung des ausftihrbaren Programmcodes auf die Chipkarte 

15 vorzugsweise online, nachdem zuvor eine eindeutige Identifizierung und 
Zuordnung von Hintergrundsystem, Schnittstellen, Kartenbetriebssystem 
und Kartenmikroprozessor erfolgt ist. Um bei Wahrung einer hochstmogli- 
chen Sicherheit die Verwaltbarkeit der die Identifikationsinformationen ent- 
haltenden Datenbanken der Hintergrundsysteme zu gewahrleisten, werden 

20 die Genehmigungen zur Erstellung von ausftihrbaren Programmcode auf 
Hintergrundsystemen von den Kartenherausgebern nur unter Auflagen er- 
teilt und werden die erteilten Genehmigungen gelistet. Die grundsatzlich ge- 
schaffene Moglichkeit, ausf iihrbaren Programmcode fiir Chipkarten selbst 
zu erstellen, wird dadurch beschrankt. 

25 . 

Zur Sicherung eines tiber ein offenes Datennetz gefuhrten Datenaustausches 
zwischen zwei Computern ist eine Anzahl von auf unterschiedlichen Ver- 
schltisselungstechniken beruhenden Methoden bekannt, u.a. das SSL (Secure 
Socket Layer) ProtokoU, PGP (Pretty Good Privacy), das Secure Messaging 
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Oder das SMIME-ProtokolL Methoden dieser Art werden auch in dem nach- 
folgend beschriebenen, erfindungsgemaJSen Verf ahren genutzt, sind aber an 
sich nicht Gegenstand der Erfindung. Zu den Ausfuhrungsdetails ein- 
schliefilich der kryptologischen Realisierung wird deshalb allgemein auf die 
5 vielf altig verfxigbaren Beschreibungen der jeweiligen Methoden in der ein- 
schlagigen Literatur sowie im Internet verwiesen. Dasselbe gilt f iir die xibli- 
chen im Zusammenhang mit Datensicherungsverf ahren eingesetzten Mittel 
wie etwa die Verschlusselung gemafi dem 3DES-Verfahren oder die Bildung 
von Message Authentication Codes (MAC), 

10 

Der Erfindung liegt die Auf gabe zugrunde, ein Verf ahren anzugeben, das es 
bei Wahrung grofitmogHcher Sicherheit gegen Datenmanipulation gestattet, 
einem moglichst grolSen Kreis von Nutzern die Erstellung von ausfiihrbaren 
Programmen fiir programmierbare tragbare DatentrSger zu erlauben. Auf- 
15 gabe der Erfindung ist es weiterhin, die zur Ausfiihrung des Verfahrens no- 
tigen Systenrkomponenten anzugeben. 

Die Auf gabe wird gelost durch ein Verfahren mit den Merkmalen des 
Hauptanspruchs. ErfindungsgemaC werden einem Nutzer ein Programm- 

20 editor zur Erstellung von Programmquelltexten sowie ein vorkomplettierter 
tragbarer DatentrSger zur Verf iigung gestellt, der fiber Sof twarewerkzeuge 
zur Endbearbeitung verfiigt, welche die Umwandlung von in einem Uber- 
gangsformat vorliegendem Transportcode in ausfiihrbaren Programmcode 
erlauben. Die Erstellung eines ausfiihrbaren Programmes fiir den Datentra- 

25 ger erfolgt verteilt. Mit dem Programmeditor erstellt der Nutzer einen Pro- 
grammquelltext, der nachfolgend iiber eine gesicherte Verbindung an einen 
beim Herausgeber des DatentrSgers befindlichen Computer iibermittelt 
wird. Die gesicherte Verbindung kann dabei hergestellt werden, indem ein 
Programmquelltext von dem vorkomplettierten Datentrager selbst zu einem 
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Transportcode verschliisselt und so gegen VerSnderung gesichert wird, daC 
nur ein bestimmter, iiber einen bei einem Herausgeber des Datentragers be- 
findlichen Computer adressierter Empfanger den Transportcode entschliis- 
seln und auf Integritat iiberpriif en kann. 
5 . 

Aus dem eingegangenen Programmquelltext erzeugt der beim Herausgeber 
des Datentragers befindliche Computer durch Kompilieren und Linken ei- 
nen ausf iihrbaren Programmcode. Bestandteil des Kompilier- und Linkvor- 
ganges ist eine formale Verifikation der erzeugten Programmcodes, durch 

10 die insbesondere aggressiver Code ermittelt wird. Den verifizierten, aus- 
fiihrbaren Programmcode setzt der beim Herausgeber des Datentragers be- 
findliche Computer in ein Ubergangsformat um und iibermittelt dieses iiber 
den Computer des Nutzers an den vorkomplettierten, tragbaren DatentrS- 
ger. Dieser iiberf lihrt ihn mit Hilfe der Endbearbeitungsof twarewerkzeuge 

15 wieder in ausfiihrbaren Programmcode und iibernimmt diesen in seinen 
Speicher. 

Vorzugsweise sind die sicherheitsrelevanten Teile der Endbearbeitungssof t- 
ware im vorkomplettierten Datentrager enthalten. Damit werden zweckma- 
20 fiig im vorkomplettierten Datentrager selbst insbesondere die Entschliisse- 
lung und/ oder die Feststellung der Authentizitat und/oder der Integritat 
eines einen Programmcode enthaltenden Transportcodes ausgefiihrt, bevor 
im fehlerfreien Fall der resultierende, ausfiihrbare Programmcode in den 
Speicher des Datentragers abgelegt wird. 

25 

Das erfindungsgemafie Verfahren schcifft eine sichere ,,Ende-zu-Ende"- 
Verbindung zwischen einem bei einem Herausgeber bef indlichen Computer 
und einem Datentrager uber einen bei einem Nutzer bef indlichen Computer. 
Durch die Gestaltung der Vorkomplettierung und die Wahl der Software- 
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werkzeuge lafit es sich dabei leicht an den Typ und die technischen Moglich- 
keiten der jeweils gegebenen Datentrager anpassen. Sind die Datentrager 
nur fur die Ausfilhrung von symmetrischen Verschliisselungsverfahren ein- 
gerichtet, erfolgt die Herstellung einer gesicherten „Ende-zu-Ende''- 
5 Verbindung zweckmaGig durch Verwendung eines symmetrischen karten- 
individuellen Schliissels einerseits, und einer tiberlagerten, vereinfachten 
asymmetrischen Verschlusselung auf der Datenverbindung zwischen dem 
Computer des Nutzers und dem beim Herausgeber des DatentrSgers be- 
findlichen Computer andererseits. In einer altemativen Ausfuhrung erfolgt 

10 zur Sicherung der Dateniibertragung zwischen dem Computer des Nutzers 
und dem beim Herausgeber des Datentragers befindlichen Computer eine 
asymmetrische Verschlusselung mit wechselseitiger Authentifizierung und 
wird die gesicherte „Ende-zu-Ende" -Verbindung zwischen dem beim Her- 
ausgeber befindlichen Computer und dem Datentrager mit den Mechanis- 

15 men des Secure-Messaging eingerichtet. 

Sind die Datentrager fur die Ausfuhrung von asymmetrischen Verschliisse- 
lungsverfahren eingerichtet, wird zweckmafiig zwischen dem beim Heraus- 
geber des Datentragers befindlichen Computer imd dem Datentrager direkt 
20 eine durch asymmetrische Verschlusselung gesicherte „Ende-zu-Ende"- 

Verbindung ausgebildet. Der Computer des Nutzers fungiert dabei lediglich 
als Mittler. 

Das erfindungsgemafie Verfahren hat den Vorteil, dafi die Erstellung von 
25 ausfiihrbaren Programmen fiir einen Datentrager grundsatzlich beliebigen 
Nutzem iiberlassen werden kann, ohne dalS die IdentitSt des Nutzers f estge- 
stellt und verwaltet werden muCte. Da der Herausgeber der Datentrager in 
jede Progranmierstellung einbezogen wird, ist die Sicherheit der erzeugten 
Programme und dariiber des gesamten Systems stets gewahrleistet. Weil 



wo 02/069118 



PCT/EP02/01655 



insbesondere die Compilerfunktionalitat beim Herausgeber der Datentrager 
verbleibt, miifi wichtiges und sicherheitsrelevantes Know-How nicht an die 
Nutzer ubergeben warden. 

5 Durch Gestaltung der Compilerfunktionalitat derart, daC direkte, unver- 
schliisselte Zugriffe atxf von Nutzem stammende Programmquelltexte oder 
erzeugte ausfiihrbare Programmcodes blockiert werden, lafit sich umgekehrt 
sicherstellen, dafi anwendungsspezifisches Know-How der Nutzer vor dem 
Herausgeber geschiitzt wird. Zweckmafiig wird hierzu in dem beim Heraus- 

10 geber befindlichen Computer ein Hardware-Sicherheitsmodul eingesetzt, in 
dem die Copipilerfunktionalitat, die Ver^/Entschlxisselung von Program- 
men, die Priifung/Erstellung von Signaturen sowie die Authentisierung 
ausgefiihrt werden. Aufierhalb des Hardware-Sicherheitsmodules erschei- 
nen Programmquelltexte oder ausfiihrbare Programmcodes nur in ver- 

15 schliisselter Form. 

Durch die formale Verif ikation neu erstellter Programme beim Herausgeber, 
d.h. in sicherer Umgebung, kann ferner sehr zuverlassig die Einbringung 
aggressiver Programmcodes in mittels eines DatentrSgers nutzbare Systeme 

20 verhindert werden. Zudem ergibt sich der Vorteil, dafi alle erstellten aus- 
fuhrbaren Programme mit dem jeweils aktuellsten Compiler kompiliert 
werden. Das erfindungsgemafie Verfahren kann dabei online oder offline 
ausgefiihrt werden. Fiir die Herausgeber von Datentragern eroffnet das er- 
findungsgemafie Verfahren sogar die Moglichkeit, die Erstellung der jeweils 

25 gewiinschten lauff ahigen Anwendungsprogramme ganzlich den Nutzern zu 
iiberlassen und die Datentrager iiberhaupt nur in vorkomplettierter Form 
auszuliefern. Die durch die verteilte Programmerstellung stets erzwungene 
Einbindung des Herausgebers in eine Programmerstellung. ermoglicht des- 
weiteren die Einf iihrung von Nutzungsmethoden, die Gebiihrenmodelle 
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verwenden, welche z.B. auf der Zahl oder der Art der auf einen Datentrager 
gebrachten ausfuhrbaren Programme beruhen. 

Ein Ausfiihrungsbeispiel der Erfindung wird nachfolgend unter Bezugnah- 
5 me auf die Zeichnung naher erlautert. 

Es zeigen: 

Fig. 1 ein System zur Ausf iihrung einer Programmerstellung, 

10 

Fig. 2 die Struktur des integrierten Schaltkreises eines programmier- 

baren, tragbaren Datentragers, 

Fig. 3 . die Struktur eines zweiten Computers, 

15 

Fig. 4 den grundlegenden Ablauf einer verteilten Programmerstel- 

lung, 

Fig. 5 bis 7 Flufidiagramme zur Veranschaulichung des Ablaufes einer 
20 Programmerstellung, 

Fig. 8 das Prinzip einer Online-Prtifung eines erstellten Programmes 

auf Lauff ahigkeit. 

25 Fig. 1 veranschaulicht die grundlegende Struktur eines Systems zur verteil- 
ten Erstellung eines Programmes fiir einen programmierbaren, tragbaren 
Datentrager. Ein erster, fiir einen Datenaustausch mit einem tragbaren Da- 
tentrager 10 ausgebildeter Computer 20 ist iiber eine Datenverbindung 28 
mit einem zweiten Computer 30 verbunden. 
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Der erste Computer 20 befindet sich bei einem Nutzer, etwa bei einer Bank, 
einer Versicherung, einem Einzelhandler, einer medizinischen Einrichtung 
Oder dergleichen oder bei einem Dienstleister, der im Auftrag der vorge- 
5 nannten Eiririchtungen Programme erstellt. Er besitzt eine erste, kontaktie- 
rend oder beriihrungslos arbeitende Schnittstelle 24, die z.B. als Kontaktfeld, 
in Form einer Spule oder als optischer Signalgeber realisiert sein kann und 
die einen Datenaustausch mit einem tragbaren Datentrager 10 ermoglicht. 
Uber eine weitere Schnittstelle 26 ist er an eine Datenverbindung 28 ange- 

10 schlossen. Uber beide Schnittstellen 24, 26 verbindet der Nutzercomputer 20 
den Datentrager 10 mit der Datenverbindung 28. Der Nutzercomputer 20 
stellt dem DatentrSger 10 dabei Zusatzfunktionen bereit. Insbesondere ge- 
stattet er den Betrieb eines, im folgenden kurz Editor genannten, Editie- 
rungsprogrammes 22, das die Erstellung von Quelltexten von Programmen 

15 fur einen Datentrager 10 erlaubt. 

Fur den programmierbaren, tragbaren Datentrager 10 wird anschliefiend die 
Form einer Chipkarte zugrundegelegt. Auf diese Erscheinungsform ist er 
aber keineswegs beschrSnkt. Der Datentrager 10 kann vielmehr, angepafit an 

20 die jeweilige Nutzung, auch anders ausgebildet sein, etwa in Gestalt einer 
Uhr, als Schreibmittel usw. Unabhangig von seiner kortkreten Erscheinungs- 
form besitzt der tragbare Datentrager 10 jeweils eine zur Schnittstelle 24 des 
Nutzercomputers 20 korrespondierende Schnittstelle 14, welche einen Da- 
tenaustausch mit einem Nutzercomputer 20 ermoglicht. Desweiteren besitzt 

25 der tragbare Datentrager 10 einen integrierten Schaltkreis 12, welcher eine 
zentrale Prozessoreinheit sowie einen Speicher zur Aufnahme des Pro- 
grammcodes wenigsteris eines durch die zentrale Prozessoreinheit ausfiihr- 
baren Anwendungsprogrammes aufweist. 
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Der zweite Computer 30 bef indet sich typischerweise bei einem Herausgeber 
von tragbaren Datentragem 10 oder bei einem autorisierten Betreiber des 
hier beschriebenen Verfahrens. In der Regel besitzt er eine im Vergleich zu 
der des Nutzercomputer 20 bzw. des tragbaren Datentragers 10 wesentlich 
5 grofiere Rechenleistung. Der zweite Computer 30 muG dabei nicht als bauli- 
che Einheit realisiert sein. Er karm vielmehr auch als System mit verteilten 
Komponenten ausgefiihrt sein, welche uber ein spezielles Datennetz ver- 
bunden sind. Zur Speicherung bzw. zur Ausfuhrimg sicherheitskritischer 
Funktionen kOnnen Hardware-Sicherheitsmodule eingesetzt sein. Uber eine 
10 Schnittstelle 34 ist der zweite Computer 30 an die Datenverbindung 28 ange- 
schlossen. Der zweite Computer 30 ist insbesondere dazu ausgebildet, ein 
Kompilierungsprogramm 310 zur Umsetzung eines in einer Programmier- 
hochsprache vorliegenden Quelltextprogrammes in Maschinensprache auis- 
zufiihren; er wird deshalb nachfolgend als Compilerserver bezeichnet. 

15 

Die Datenverbindung 28 hat iiblicherweise die Gestalt eines Datennetzes 
und karm insbesondere durch das Internet realisiert sein. Obwohl in Fig. 1 
nur eine Verbindung zwischen zwei Komponenten 20, 30 gezeigt ist, konnen 
liber die im folgenden Datennetz genannte Datenverbindung 28 auch mehre- 
20 re Nutzercomputer 20 mit einem oder auch mehreren Compilerservern 30 
verbunden sein. 

Fig. 2 zeigt die Struktur des integrierten Schaltkreises 12 einer Chipkarte 10 
mit als Vorkomplettierung aufgebrachten Softwarewerkzeugen. Der inte- 
25 grierte Schaltkreis 12 besitzt eine fiir Chipkartenprozessoren typische Archi- 
tektur und weist eine zentrale Prozessoreinheit 100, einen fluchtigen Arbeits- 
speicher 102, sowie eine nichtfltichtige Speicheranordnung 104 auf, letztere 
bestehend aus einem nichtfliichtigen Nur-Lese-Speicher sowie einem nicht- 
fliichtigen, wiederbeschreibbaren Speicher. Ublicherweise ist der fliichtige 
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Arbeitsspeicher 102 ein RAM-Speicher, der nichtfliichtige Nur-Lese-Speicher 
ein ROM-Speicher und der nichtfluchtige, liberschreibbare Speicher ein 
EEPROM-Speicher. Aufier diesen genannten kOnnen beliebige andere, die- 
selbe Funktionalitat aufweisenden Speichertypen eingesetzt werden. Die 
5 zentraile Prozessoreinheit 100 ist ferner mit der Schnittstelle 14 verbunden. 

In der nichtfliichtigen Speicheranordnung 104 befindet sich eine Anzahl von 
zur Nutziing des Datentragers 10 benotigten Sof twarewerkzeugen, welche in 
einer Vorkomplettierungsphase vor Ubergabe des Datentragers 10 an einen 

10 Nutzer angelegt werden. Unter Softwarewerkzeugen soUen hierbei alle nicht 
durch einen Nutzer veranderbaren Programme, Routinen oder Datensatze 
verstanden werden, die bedcirfsweise zur Ausf lihrung jeweils bestimmter 
Datenverarbeitungsauf gaben einsetzbar sind. Im Rahmen der Vorkomplet- 
tierung angelegt wird dabei zum einen eine ausf iihrungsimabhangige, stets 

15 gleichartige Kartengrundausstattung 110. Sie umfafit zumindest das Be- 
triebssystem 111, einen Basisprogrammcode 112 zur Realisierung von An- 
wendungen, die sich bereits bei Ubergabe an den Nutzer auf der Chipkarte 
10 befinden, sowie einen Speicherbereich 113 zur spateren Aufnahme von 
nachgeladenem, ausfuhrbarem Programmcode. 

20 

Zum anderen wird eine auf die jeweils gewahlte Ausfiihrungsvariante abge- 
stimmte Auswahl der folgenden Softwarewerkzeuge angelegt: eine fur den 
integrierten Schaltkreis 12, und damit fiir die Chipkarte 10, individuelle und 
eindeutige Identifikationsinformation 114, z.B. eine Seriennummer, ein Pro- 
25 gramm 116 zur Ausftihrung asymmetrischer kryptographischer Algorith- 
men, ein Programm 118 zur Durchfiihrung symmetrischer kryptographi- 
scher Algorithmen, ein Programm 120 zur Fuhrung eines Datenaustausches 
nach dem Prinzip des Secure Messagings, ein Programm 122 zur Durchfiih- 
rung eines Datenaustausches iiber das Datermetz 28 gemafi dem SSL- 
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Protokoll, ein chipkartenindividueller Signaturschlxissel 124, ein chipkar- 
tenindividueller symmetrischer Schlussel 126, der effentliche Schliissel 128 
eines der Chipkarte 10 zugeordneten Compilerservers 30, ein privater Kar- 
tenschliissel 130 zur Verwendung in einem asymmetrischen Verschliisse- 
5 lungsverfahren, ein Zertifikat 132, welches die Zusammengehorigkeit zwi- 
schen off entlichen Kartenschliisseln und Identif ikationsinformationen mit 
einer Signatur eines Herausgebers bestatigt, Speicherraum zur Aufnahme 
eines Sitzungssschliissel 134 - dieser wird im Unterschied zu den vorgenann- 
ten Schliisseln bei der Aufnahme eines Datenaustausches mit einem Compi- 
10 lerserver 30 jeweils neu erzeugt, sowie ein Sequenzzahler 136. AUe genann- 
ten Softwarewerkzeuge konnen jeweils auch mehrf ach vorhanden sein. Das 
gilt besonders f iir die auf gefiihrten Schlussel, Zertif ikate und den Sequenz- 
zahler. 

15 Fig. 3 veranschaulicht die Struktur eines Compilerservers 30 mit den bei der 
Durchfiihrung einer Programmerstellung eingesetzten Programmen und 
Softwarewerkzeuge. Kern des Compilerservers 30 bildet eine zentrale Pro- 
zessoreinheit 300, welche tiber eine Schnittstelle 34 mit dem Datennetz 28 
verbunden ist, um dariiber einen Datenaustausch mit einem Nutzercompu- 

20 ter 20 und dariiber mit einer Chipkarte 10 zu fiihren. Weiter sind der zen- 

tralen Prozessoreinheit 300 ein fliichtiger Arbeitsspeicher 302, in der Regel in 
Gestalt eines R AM-Speichers, sowie eine nichtfluchtige Speicheranordnung 
304 zugeordnet, welche liblicherweise einen Nur-Lese-ROM-Speicher sowie 
einen Massenspeicher, etwa eine Festplatte, umf afit. 

25 

In der Speicheranordnung 304 sind die zur Durchfiihrung des vorgeschlage- 
nen Verfahrens benotigten Softwarewerkzeuge abgelegt. Fig. 3 zeigt der Ein- 
fachheit wegen eine Ubersicht iiber samtliche im Zusammenhang mit dieser 
Beschreibung in Betracht kommenden Softwarewerkzeuge. Die Auswahl der 
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tatsachlich benfitigten Software werkzeuge hangt, wie bei der Chipkarte 10, 
von der zur Realisierung des Verfahrens konkret gewahlten Ausfiihrungs- 
form. Allgemein kSnnen sich in der Speicheranordnung 304 an Software- 
werkzeugen befinden: Ein, in Fig. 3 Compiler genanntes Compilierungspro- 
5 gramm 310 zur Umsetzung von Programmquelltext in einen Programmcode, 
ein, in Fig. 3 Linker genanntes Linkprogramm 312 zur Einbindung von be- 
reits erstellten Programmcodes in den Kontext eines neu erstellten Pro- 
grammes, eine Codebibliothek 318 mit dem Progranuncode bereits vorhan- 
dener Progranune und Programmteile, eine Datenbank 320 zur Ablage von 

10 bestimmten Nutzem zxigeordneten Programmcodes, ein Debug-Programm 
316 zur Priifung eines erstellten Programmes auf Lauffahigkeit, ein Pro- 
gramm 321 zur formalen Verifikation von erzeugten Programmen und/oder 
Quelltexten, ein oder mehrere Hauptschlxissel 324, welche zu dem oder den 
chipkartenindividuellen, symmetrischen Schlusseln 126 korrespondieren, ein 

15 oder mehrere Hauptschliissel 326, welche zu den chipkartenindividuellen 
Schlusseln 124 zur Bildung von Datensicherungscodes, insbesondere MACs 
korrespondieren, einen oder mehrere offentliche Serverschliissel 328 zur 
Durchf iihrung von asymmetrischen kryptographischen Algorithmen, einen 
oder mehrere korrespondierende private Serverschliissel 330, einen oder 

20 mehrere offentliche Kartenschliissel 332 zur Durchfuhrung asymmetrischer 
Algorithmen, ein oder mehrere Serverzertifikate 334, ein oder mehrere Se- 
quenzzahler 338, sowie eine Liste mit Zertifikaten, die bei der Herstellung 
der vorkomplettierten Chipkarte 10 gebildet wurden und in der Chipkarte 
10 im Bereich 132 gespeichert werden. Desweiteren beinhaltet die Speicher- 

25 anordnung 304 eine Nutzerliste 340 mit Identif ikationsinf ormationen, die ei- 
ne eindeutige Identif izierung einer Chipkarte ermoglichen; Identif ikationsin- 
formationen zur Identifizierung von Chipkarten 10 kOnnen beispielsweise 
deren Seriennummem sein. 
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Zweckmafiig werden in einem Compilerserver 30 bei der praktischen Urn- 
setzung des Verfahrens von den vorgenannten Sof twarewerkzeugen nur die 
tatsSchlich benotigten eingerichtet, die jeweils nicht benotigten weggelassen. 

5 Bedeutung und Verwendung der in der vorkomplettierten Chipkarte 10 
bzw. dem Compilerserver 30 vorhandenen Softwarewerkzeuge werden 
nachfolgend anhand der Fig. 4, die den grundlegenden Ablauf einer verteil- 
ten Programmerstellung zeigt, sowie der Fig. 5 bis 7 erlautert, die drei Aus- 
fiihrungsformen einer verteilten Programmerstellung veranschaulichen. 

10 

Fig. 4 zeigt zunachst den grundlegenden Ablauf einer verteilten Pro- 
grammerstellung. In einer Vorbereitungsphase werden einem Nutzer eine 
durch Aufbringen von Sof twarewerkzeugen vorkomplettierte Chipkarte 10 
sowie ein Editor 22 zur Verfiigung gestellt, Schritt 400. Mit dem Editor 22 er- 
15 stellt er auf dem Nutzercomputer 20 einen Programmquelltext Q, Schritt 402. 
Durch Anwendung einer geeigneten Verschliisselungstechnik wird dieser 
mit einer Transportsicherung versehen, Schritt 404, und in einen Transport- 
code T, TQ, TQssL liberfuhrt, Schritt 406. Der Transportcode T, TQ, TQssl 
wird an den Compilerserver 30 iibermittelt; Schritt 408. 

20 

Der Compilerserver 30 hebt durch Entschlusselung die Transportsicherung 
auf, Schritt 410, und gewirmt den in dem Transportcode T, TQ, TQssl enthal- 
tenen Programmquelltext Q zuriick, Schritt 412. Den Programmquelltext Q 
kompiliert, bindet und verifiziert er anschlieCend, Schritt 414. Es resultiert 
25 ein lauffahiger Programmcode C, Schritt 416, der nachfolgend wiederum 
transportgesichert wird, Schritt 418. Er wird hierzu durch Anwendung ge- 
eigneter Verschliisselungsmechanismen, die nicht mit den zuvor auf Seiten 
des Nutzercomputers 20 angewandten iibereinstimmen miissen, in ein 
Ubergangsformat U, Usm, Ussl iiberfuhrt, Schritt 420. In diesem Ubergangs- 
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format wird er fiber den Nutzercomputer 20 an die Chipkarte 10 libermittelt, 
Schritt422. 

Jene ermittelt unter Verwendung der bei der Vorkomplettierung angelegten 
5 Sof twarewerkzeuge aus dem im Nutzercomputer 20 eingegangenen Trans- 
portcode U, Usm, Ussl durch Entschliisselung wieder den lauff ahigen Pro- 
grammcode C und ladt diesen schlieClich in seinen Speicher. 

Fig, 5 zeigt eine verteilte Programmerstellung, bei der die Datensicherheit 
10 durch Nutzung von auf der Chipkarte 10 vorbereiteten Mitteln in Wechsel- 
wirkung mit dem Compilerserver 30 erreicht wird. Die in Fig. 5 dargestellte 
Ausf iihrungsform eignet sich besonders fiir Systeme, in denen die verwen- 
deten Chipkarten 10 nur symmetrische Verschltisselungstechniken beherr- 
schen. 

15 

Fig. 6 zeigt eine Ausf iihrungsform, bei der die zwischen Nutzercomputer 20 
und Compilerserver 30 iiber das Datennetz 28 erfolgende Dateniibertragung 
mittels eines SSL-ProtokoUs gesichert ist, v^ahrend der direkt zwischen 
Chipksirte 10 und Compilerserver 30 erfolgende Datentrsinsport gemafi dem 
20 Secure-Messaging Mechanismus ausgefiihrt wird. Die Ausfuhrungsform 
eignet sich ebenfalls fur Systeme, in denen die verwendeten Chipkarten 10 
nur symmetrische Verschltisselungstechniken erlauben. 

Fig. 7 veranschaulicht eine Ausfuhrungsform, bei der der Nutzercomputer 
25 20 im wesentlichen nur als Mittler zwischen Chipkarte 10 und Compilerser- 
ver 30 wirkt. Die Sicherung der zwischen Chipkarte 10 und Compilerserver 
30 transportierten Daten erfolgt, indem zwischen Compilerserver 30 und 
Chipkarte 10 unter Verwendung des SSL-ProtokoUs direkt eine gesicherte 
„Ende-zu-Ende"-Verbindung eingerichtet wird. 
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Tabelle 1 veranschaulicht systematisch die Anwendbarkeit der drei nachf ol- 
gend anhand der Fig. 5, 6, 7 beschriebenen Ausf iihrungsf ormen in Abhan- 
gigkeit von der Durchfiihrung der Dateniibertragung, der Ausstattungsan- 
5 forderungen an die Chipkarte 10 und der Art der Transportsicherung. 



Tabelle 1 



Verfah- 
ren 


Dateniibertra- 
gung 


Anf orderung an Chipkar- 
te 


Art der Transport- 
sicherung 


Fig 5 


Offline 


Nur symmetrische Algo- 
rithmen 


Verschliisselung 
und MAC durch 
Chipk. 


Fig. 6 


Online 


Symmetrische xind/ oder 
asynunetrische Algorith- 
men 


Secure Messaging 
durch Chipkarte 


Fig. 7 


Online 


Symmetrische und asym- 
metrische Algorithmen 


SSL durch Chip- 
karte 



Die linke Spalte in den Fig. 5, 6, 7 zeigt jeweils die Aktivitaten des Compiler- 
10 servers 30, die rechte die Aktivitaten des Nutzercomputers 20 bzw. der 

Chipkarte 10, wobei „N" den Nutzercomputer 20 bezeichnet, „K" die Chip- 
karte 10, 

Der in Fig.5 dargestellten Programmerstellung vorgeschaltet ist eine Vorbe- 
15 reitungsphase. Darin vsrerden dem Nutzer durch den Herausgeber eine vor- 
komplettierte Chipkarte 10, Schritt 500, sowie ein Editor 22 zur Einrichtung 
auf seinem Computer 20, Schritt 502, bereitgestellt. Auf der yorkomplettier- 
ten Chipkarte 10 befinden sich bzw. sind neben der Grundausstattung 113 
eingerichtet: eine Identifikationsinformation ID im Speicherbereich 114, ein 
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Programm 118 zur Durchfuhrung von symmetrischen Kryptoalgorithmen, 
etwa des „3DES"-Algorithmus, mindestens ein kartenindividueller Schlussel 
Kmac zur Bildung eines Datensicherungscodes, vorzugsweise in Gestalt eines 
MACs, im Speicherbereich 124, mindestens ein Schlussel Kenc zur symmetri- 
5 schen Verschliisselung im Speicherbereich 126, sowie Speicherplatz 134 zur 
Aufnahme wenigstens zweier Sitzungsschltissel SKenc, SKmac Weiter sind 
auf der vorkomplettierten Chipkarte 10 wenigstens zwei Sequenzzahler 136 
mit Werten SEQc, SEQh. eingerichtet. Der Sequenzzahler SEQc dient dabei 
ziir Berechnung der Sitzungsschltissel SKenc, SKmac die zur sicheren Uber- 
10 tragung von Programmquelltexten Q vom Nutzercomputer 20 zum Compi- 
lerserver 30 genutzt werden, der Sequenzzahler SEQh dient zur Berechnung 
von Sitzungsschlusseln SKenc, SKmac die zur sicheren Ubertragung von 
Programmcodes C vom Compilerserver 30 zum Nutzercomputer 20 genutzt 
werden. 

15 

Auf dem Compilerserver 30 werden ftir jede ausgegebene Chipkarte 10 zwei 
Sequenzzahler 338 mit Werten den SEQc, SEQh eingerichtet. Die Werte 
SEQc, SEQh stimmen, damit der Compilerserver 30 nach der gleichen Re- 
chenvorschrift, wie sie die Chipkarte 10 einsetzt, die Sitzungsschltissel 

20 SKenc, SKmac berechnen kann, stets mit den Werten der korrespondierenden 
Sequenzzahler 136 der zugeordneten Chipkarte 10 uberein. Zur Erhohung 
der Sicherheit werden bei jeder tJbertragung von Programmquelltexten Q 
bzw. Programmcodes C andere Sitzungsschltissel SKenc, SKmac verwendet. 
Zu diesem Zweck erhohen Chipkarte 10 und Compilerserver 30 jeweils vor 

25 der Berechnung von Sitzungssschltissel SKenc, SKmac die Werte SEQc bzw, 
SEQh der Sequenzzahler 136, 338. 

Der Editor 22 erlaubt die Erstellung von Programmquelltext Q, z.B. in einer 
Programinierhochsprache. Vorzugsweise untersttitzt er die Programmer- 
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stellung durch eine graphisch unterlegte, dialoggesteuerte Eingabefiihrung 
und bietet direkt nutzbare Entwicklungshilfsmittel wie eine Syntaxpriifung 
Oder die Einbindung von Programmschnittstellen zur Codebibliothek. 

5 Stehen Chipkarte 10 in vorkomplettierter Form und Nutzercomputer 20 be- 
reit, erstellt der Nutzer unter Verwendung des Editors 22 den Pro- 
grammquelltext Q eines zur Einbringung in eine Chipkarte 10 bestimmten 
Programmes, Schritt 504. Vorzugsweise erfolgt die Erstellung in einer Pro- 
grammierhochsprache, generell ist aber auch jedes andere Format moglich. 

10 Ist ein Programmquelltext Q erstellt, beauftragt der Nutzer die Chipkarte 10 
liber den Editor 22 mittels eines entsprechenden Befehles, den Pro- 
grammquelltext Q zu verschlusseln und mit einem MAC gegen Verande- 
rung zu sichern. Dazu erhoht die Chipkarte 10 zunachst den Sequenz- 
zahlerwert SEQc und generiert die Sitzungssschliissel SKenc und SKmao z.B. 

15 mit dem sytxunetrischen 3DES -Algorithmus, Schritt 506. Anschliefiend ver- 
schliisselt sie den von dem Editor 22 iiber die Schnittstellen 24, 14 erhaltenen 
Programmquelltext Q mit dem Sitzungsschliissel SKenc zu einem Zwischen- 
code Q' und berechnet mit dem Sitzungsschliissel SKmac einen MAC tiber 
Q', Schritt 508. Zwischencode Q' und MAC ubergibt die Chipkarte 10 so- 

20 dann iiber die Schnittstellen 24,14 zuriick an den Editor 22. 

Dieser ermittelt desv^eiteren die im Speicherbereich 114 der Chipkarte 10 
angelegte Kartenidentifikation ID, Schritt 509, und fiigt sie mit dem Zwi- 
schencode sowie dem MAC zu einem Transportcode T zusanunen. Den 
25 derart gebildeten Transportcode T iibermittelt der Nutzercomputer 20 iiber 
das Datennetz 28 an den Compilerserver 30, Schritt 510. Die Cbertragung 
des Transportcodes T kann dabei in beliebiger Weise iiber ein ungesichertes 
Medium erfolgen. Beispielsweise kann der Transportcode T als E-mail iiber- 
tragen oder auf Diskette per Post an den Herausgeber geschickt werden. Da- 
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neben kann der Transportcode T auch online uber das Datennetz 28 an den 
Compilerserver 30 geschickt werden. Vertraulichkeit und Integritat des 
iibermittelten Transportcodes T werden durch die Verschliisselung und die 
MAC Berechnung durch die Chipkarte 10 gewahrleistet. 

5 

Beim Compilerserver 30 eingegangen, pruft dieser zunachst, Schritt 512, ob 
die im Transportcode T enthaltene Identif ikationsinf ormation ID auch in der 
im Compilerserver 30 gef iihrten Identif ikationsliste 340 enthalten ist, die 
vorzugsweise eine Kundenliste bildet. Trifft das zu, leitet er zunachst aus 

10 den in den Speicherbereichen 324, 326 befindlichen Masterschliisseln MKenc 
und MKmac mit Hilfe der Identifikationsinformation ID die zugehorigen 
kartenindividuellen Schliissel Kenc und Kmac ab, Schritt 514. Aus diesen 
Schliisseln sowie dem inkrementierten Sequenzzahler SEQc berechnet der 
Compilerserver 30 sodann die Sitzungsschliissel SKenc und SKmac nach der- 

15 selben Rechenvorschrift, die zuvor die Chipkarte 10 verwendet hat. Mit dem 
Sitzungsschliissel SKmac berechnet der Compilerserver 30 anschliefiend sei- 
nerseits einen MAC\ Schritt 516, und vergleicht ihn mit dem in dem Trans- 
portcode T enthaltenen MAC. Stimmen beide iiberein, erkennt der Compi- 
lerserver 30 den Transportcode T als authentisch, d.h. von der Chipkarte 10 

20 mit der Identifikationsinformation ID kommend, und integer, d.h. nicht bei 
der Ubertragung verandert. 

Hat der Compilerserver 30 einen Transportcode T als authentisch erkannt, 
entschliisselt er den im Transportcode T enthaltenen Programmquelltext Q' 
25 mittels des Sitzungsschliissels SKenc Auf grund der zuvor festgestellten In- 
tegritat des Transportcodes T stimmt das resultierende, entschliisselte For- 
mat mit dem auf dem Nutzercomputer 20 urspriinglich erstellten Pro- 
grammquelltext Q iiberein. 
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Den wiederhergestellten Programmquelltext Q liberf iihrt der Compilerser- 
ver 30 unte^ Verwendung des KompUierungsprogrammes 310 in ein Zwi- 
schenformat, das er anschliefiend mittels des Linkprogrammes 312 unter 
Zugriff auf die Codebibliothek 318 mit bereits vorhandenem Programmcode 
5 verbindet, Schritt 518. 

Kompilierungsprogramm 310 und Linkprogramm 312 sind in einer zweck- 
mafiigen Gestaltung in Form eines Hardware-Sicherheitsmodules ausge- 
ftihrt, welches die Compilier- und Linkfunktionalitat, die Ent- und Ver- 

10 schlusselung der bearbeiteten Programmdaten, die Priifung und Erstellung 
von Signaturen sowie die Authentisierung beinhaltet. Alle bearbeiteten Pro- 
grammdaten, insbesondere eingehende Programmquelltexte Q und erzeugte 
ausfiihrbare Programmcodes C erscheinen dann aufierhalb des Hardware- 
Sicherheitsmodules nur in verschliisselter Form. Auf diese lafit sich sicher- 

15 stellen, dafi anwendungsspezifisches Know-How der Nutzer gegen Einsicht 
und Zugriffe iiber den Compilerserver 30 geschutzt wird. 

ZweckmaCig kann im Compilerserver 30 desweiteren eine Beschrankung des 
Zugriff es auf die Codebibliothek 318 eingerichtet sein, welche z.B. die Ein- 
20 bindung schon vorhandenen Programmcodes in einen neu erzeugten durch 
das Linkprogramm 312 beschrankt. 

Der nach Compilierung und Linken resultierende Programmcode C wird 
mittels des Verifikationsprogrammes 321 formal verifiziert. Dabei wird der 
25 Programmcode C auf offensichtliche Fehler gepriift, etwa auf Einhaltung des 
Adrefiraumes, auf Beachtung der vorgegebenen Speichergrofien, auf 
Typverletzimgen oder auf Aggressivitat, Schritt 520. 
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1st der aus dem Programmquelltext Q erzeugte Programmcode C danach 
verwendungsfahig, d.h. durch die Chipkarte 10 ausfiihrbar, wird er fiir die 
Rtickiibertragung in einen Transportcode U umgewandelt. Hierzu wird zu- 
nachst der Sequenzzahlerwert SEQh erhoht. Mit dem erhohten Sequenz- 
5 zahlerwert SEQh werden anschlieCend aus den Masterschltisseln MKenc 
bzw. MKmac lind der Identifikationsinformation ID die kartenindividuellen 
Schliissel Kenc und Kmac abgeleitet und damit wiederum Sitzungsschliissel 
SKenc und SKmac berechnet, Schritt 522. Die Berechnung der Sitzungsschliis- 
sel SKenc, SKmac durch den Compilerserver 30 erfolgt auf dieselbe Weise 
10 wie sie zuvor, in Schritt 506, vom Nutzercomputer 20 vorgenommen wurde, 
wobei lediglich anstelle des Sequenzzahlerwertes SEQc der Sequenzzahler- 
wert SEQh verwendet wird. 

Nachfolgend wird mit dem Sitzungsschliissel SKenc der Programmcode C 
15 zu einem Zwischencode C verschliisselt und iiber den Zwischencode C mit- 
tels des Sitzungsschliissel SKmac weiterhin ein MAC berechnet, Schritt 524. 
Zwischencode O und MAC^'^ werden sodann zu einem Transportcode U zu- 
sammengefiigt, den der Compilerserver 30 an den Nutzercomputer 20 iiber- 
sendet, Schritt 526. Fiir die Ubersendung des Transportcodes U kann wie im 
20 Falle des Transportcodes T ein beliebiges, insbesondere auch ein an sich un- 
sicheres Obertragungsmedium wie eine Diskette oder der Versand per E- 
mail gewahlt werden. Selbstverstandlich ist daneben auch die Nutzung einer 
Online- Verbindung iiber ein Datennetz 28 moglich. Wird eine Online- 
Verbindung genutzt, besteht die Moglichkeit, zu einem Auftrag, d.h. der Ab- 
25 sendung eines in einem Transportcode enthaltenen Programmquelltextes Q 
an einen Compiler 30, in einer einzelnen Online^Sitzung auch das Ergebnis, 
d.h. einen Transportcode U mit dem Programmcode C" zu erhalten. 
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Der Nutzercomputer 20 leitet den erhaltenen Transportcode U iiber die 
Schnittstellen 24, 14 weiter an die Chipkarte 10, Schritt 528, Jene erhoht den 
Wert SEQh des Sequenzzahlers 136, erzeugt damit auf dieselbe Weise wie 
zuvor der Compilerserver 30 in Schritt 522 die Sitzungssschliissel SKenc 
5 bzw. SKmac und pruft, ob der mit Transportcode U xibermittelte MAC"" 
identisch dem MAC ist, den die Chipkarte 10 selbst mittels des Schliissels 
SKmac aus U berechnen kann, Schritt 530. Stimmen MAC"" und MAC iiber- 
ein, ist der MAC"" aus U erfolgreich verifiziert. Da aufier der Chipkarte 10 
selbst nur der Compilerserver 30 iiber die Moglichkeit verfiigt, den Schlussel 

10 SK MAC zu benutzen, ist der durch Entschliisselung des in dem Transport- 
code U xibermittelten Programmcodes C gewonnenen Programmcode C au- 
thentisch, d.h. er wurde vom Compilerserver 30 aus einen von derselben 
Chipkarte 10 transportgesicherten Programmquelltext Q generiert. Der als 
authentisch erkannte Programmcode C wird von der Chipkarte 10 in den 

15 Kartenspeicher 113 geladen, Schritt 532, 

Fig. 6 zeigt als Flufidiagramm eine Ausfiihrungsform einer verteilten Pro- 
grammerstellung, bei der die zwischen Nutzercomputer 20 und Compiler- 
server 30 fiber das Datermetz 28 erfolgende Datenubertragung mittels SSL 

20 gesichert ist, wahrend der direkte Datentransport zwischen Chipkarte 10 

und Compilerserver 30 mit Hilfe des Secure-Messaging-Mechanismus ausge- 
fuhrt wird. Die Ausfuhrungsform eignet sich wie die in Fig. 5 dargestellte 
Ausfiihrungsform besonders fur eine Online- Ausftihrung in Systemen, in 
denen die verwendeten Chipkarten 10 nur symmetrische Verschliisselungs- 

25 techniken erlauben. 



Eine zur Durchfuhrung der zweiten Ausfuhrungsform vorkomplettierte 
Chipkarte 10 umfafit neben der Grundausstattung 110 mit Betriebssystem 
111, Basisprogrammcode 112 und Speicherraum 113 fiir Komplettierungs- 
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programmcode, eine Routine 120 zur Durchfiihrung des Secure-Messagings, 
einen privaten Kartenschlussel 130 sowie einen offentlichen Serverschltissel 
128. Der Nutzercomputer 20 verfiigt ferner uber die Programrnfunktionalitat 
zur Ausfiihrung des SSL-Protokolls ohne Authentisierung von Chipkarten. 

5 

Die Durchfiihrung einer Programmerstellung in der zweiten Ausfiihrungs- 
f orm entspricht zunachst der ersten Ausf lihrungsf orm gemafi Fig. 5 und urn- 
fafit die Schritte 500 bis 504. 

10 Liegt ein Programmquelltext Q vor, richtet der Nutzer iiber das Datennetz 
28 eine Verbindung zwischen seinem Computer 20 und dem Compilerserver 
30 des Herausgebers ein, Schritt 600. 

1st die physikalische Verbindung zum Compilerserver 30 hergestellt, wird 
15 zwischen Nutzercomputer 20 und Compilerserver 30 ein SSL-ProtokoU ge- 
startet. Nutzercomputer 20 und Compilerserver 30 bestimmen dabei jew^eils 
einen Sitzungsschliissel SKssl, Schritte 601, 602. AnschlieCend wird innerhalb 
des SSL-Protokolls ein sogenannter IP-Tunnel zwischen Compilerserver 30 
und Chipkarte 10 zur Ausfiihrung des Secure-Messagings eingerichtet, 
20 Schritt 604. Im Nutzercomputer 20 wird dabei das von der Chipkarte 10 
durchgef lihrte ProtokoU des Secure-Messagings in das, nur zwischen Nut- 
zercomputer 20 und Compilerserver 30 eingesetzte SSL-ProtokoU eingebet- 
tet. In dem iP-Tunnel werden nachf olgend chipkartenspezifische Datensatze, 
vorzugsweise in Gestalt von APDUs (Application Protocol Data Unit) direkt 
25 zwischen Chipkarte 10 und Cpmpilerserver 30 transportiert. In Bezug auf 

das Secure-Messaging fungiert der Nutzercomputer 20 nur als reiner Mittler. 



Gemafi dem Secure-Messaging fiihren Chipkarte 10 und Compilerserver 30 
sodann eine wechselseitige Authentif izierung durch, wobei sich zunachst die 
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Karte 10 gegeniiber dem Compilerserver 30 authentisiert, Schritt 606, an- 
schlieCend der Compilerserver 30 gegeniiber der Karte 10, Schritt 608. Ver- 
lauft die wechselseitige Authentifizierung zwischen Chipkarte 10 und Com- 
pilerserver 30 erfolgreich, wird die Nutzung aller Furiktionen des Compiler- 
5 servers 30 mittels des Nutzercomputers 20 freigegeben, Schritt 610. 

Liegt die Nutzungsfreigabe vor, verschliisselt der Nutzercomputer 20 den 
erstellten Programmquelltext Q mit dem vorher bestimmten Sitzungsschliis- 
sel SKsES und ubermittelt den daraus resultierenden Transportcode TQ an 
10 den Compilerserver 30, Schritt 612. 

Im Compilerserver 30 eingegarigen wird der Transportcode TQ mit Hilfe des 
zuvor im Compilerserver 30 generierten Sitzungsschliissel SKssl wieder ent- 
schliisselt, Schritt 614, und in den auf dem Nutzercomputer 20 erstellten 

15 Quelltext Q uberfiihrt. Zweckmafiig erfolgt die Ausfiihrung der Schritte 610, 
612, 614 in Form eines kontinuierlichen Datenaustausches zwischen Nutzer- 
computer 20 und Compilerserver 30, so daJS die Wiederherstellung des 
Quelltextes Q im Compilerserver 30 unmittelbar nach Erhalt des letzten ver- 
schliisselten Quelltextdatensatzes vom Nutzercomputer 20 abgeschlossen 

20 wird. 

Aus dem Quelltext Q erzeugt der Compilerserver 30 sodarm durch Ausfiih- 
rung der anhand der Fig. 5 beschriebenen Schritte 518 und 520 einen aus- 
fiihrbaren Programmcode C. 

25 

Den ausfiihrbaren Programmcode C wandelt der Compilerserver 30 durch 
Anwendung der Secure-Messaging-Mechanismen in gesicherten Pro- 
grammcode CsM, Schritt 620. Den gesicherten Programmcode Csm iiberfuhrt 
er anschliefiend durch Verschliisselung mit Hilfe des Sitzungsschliissel SKses 
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in einen in einem Ubergangsf ormat vorliegenden Transportcode UCsm, 
Schritt 622. Durch die Verschliisselung mit dem Sitzungsschltissel SKses wird 
der, typischerweise in Gestalt von APDUs vorliegende, gesicherte Pro- 
grammcode Csm in eine Sicherung der Dateniibertragung iiber das Daten- 
5 netz 28 zwischen Compilerserver 30 und Nutzerconaputer 20 eingebettet. 

Den im tJbergangsformat vorliegenden Transportcode UCsm iibermittelt der 
Compilerserver 30 an den Nutzercomputer 20. Dieser entschliisselt UCsm 
mittels des Sitzungssschlussels SKses, Schritt 626, wodurch die zum Schutz 
10 der Dateniibertragung zwischen Compilerserver 30 und Nutzercomputer 20 
angebrachte Sicherung wieder entfernt wird. Den danach vorliegenden ent- 
schliisselten, gemafi dem Secure-Messaging gesicherten Programmcode Csm 
libergibt der Nutzercomputer 20 an die Chipkarte 10, Schritt 624. 

15 In der Chipkarte 10 wird der gesicherte Programmcode Csm durch Anwen- 
dung der umkehrenden Secure-Messaging-Mechanismen wieder in ausfiihr- 
baren Programmcode C zuriickgefiihrt, Schritt 628, und schliei3Iich in die 
Speicheranordnung 104 in den dort zur Aufnahme von Komplettierungs- 
programmcode vorbereiteten Bereich 113 geladen, Schritt 630. 

20 

Aus Grtinden der Klarheit wurde vorstehend der in Fig. 6 dargestellte Ver- 
fahrensablauf als sequentielle Folge von separaten Schritten beschrieben. In 
der Praxis beinhalten die zwischen Chipkarte 10, Nutzercomputer 20 und 
Compilerserver 30 erfolgenden Dateniibertragungen in der Kegel einen Da- 
25 tenaustausch in jeweils beiden Richtungen. SinnvoU ist es zudem, Verf ah- 
rensschritte, fiir die das moglich ist, in Form eines kontinuierlichen, quasi- 
parallelen Datenaustausch- und Verarbeitungsprozesses auszuf iihren, in 
dem Compilerserver 30 und Nutzercomputer 20 bzw. Chipkarte 10 Verfah- 
rensschritte.zeitlich iiberlagernd ausfiihren. Zweckmafiig ist dies z.B. fiir die 
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Schritte 620 bis 630: sie werden vorzugsweise in Gestalt eines kontinuierli- 
chen Datenaustausches zwischen Compilerserver 30 und Nutzercomputer 20 
ausgefiihrt, in dem eine Ubertragung von Datensatzen des Transportcbdes 
UCsM zum Nutzercomputer 20 bereits stattf indet, wahrend auf dem Compi- 
5 lerserver 30 noch die Umsetzung des Programmcodes C gemafi dem Secure- 
Messaging erf olgt, und in dem die vom Compilerserver 30 xiber den Nutzer- 
computer 20 an die Chipkarte 10 iibertragenen Datensatze durch diese un- 
mittelbar vor dem Laden in den Speicherraum 113, d.h. ohne Zwischenspei- 
cherung bis zum voUstandigen Eingang, entschliisselt werden. 

10 

Fig. 7 veranschaulicht eine v^eitere Ausfiihrungsform der anhand der Fig. 4 
beschriebenen Programmerstellung, bei der der Nutzercomputer 20 im we- 
sentlichen nur als Mittler zwischen Chipkarte 10 und Compilerserver 30 
wirkt. Die Sicherung der zwischen Chipkarte 10 und Compilerserver 30 
15 transportierten Daten erfolgt, indem zwischen Compilerserver 30 und Chip- 
karte 10 unter Verwendung des SSL-ProtokoUs eine gesicherte, direkte „En- 
de-zu-Ende"-Verbindung eingerichtet wird. 

Die Vorkomplettierung einer zur Durchfiihrung dieser Ausfuhrungsvariante 
20 geeigneten Chipkarte 10 beinhaltet neben der Einrichtung der Grundausstat- 
tung 110 mit Betriebssystem 111, Basisprogrammcode 112 und Speicherbe- 
reich fiir Komplettierungsprogrammcode 113 das Anlegen eines Program- 
mes 122 zur Ausfiihrung des SSL-ProtokoUs, die Hinterlegung eines Zertifi- 
kates 132, die Hinterlegung des privaten Kartenschliissels 130 sowie die Hin- 
25 terlegung des offentlichen Serverschliissels 128. 



Die Durchfiihrung des Verfahrens gemaJS Fig. 7 entspricht zunachst d^r an- 
hand der Fig. 5 beschriebenen Ausfuhrungsform und umf aCt die Schritte 500 
bis 504. Sie werden gefolgt von der Eirurichtung einer Verbindung zwischen 
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der Chipkarte 10 und einem Compilerserver 30 liber den Nutzercomputer 
20, Schritt 700. 

Chipkarte 10 und Compilerserver 30 ftihren nun ein voUstandiges SSL- 
5 Protokoll aus. Innerhalb der Handshake-Prozedur erfolgt hierbei eine wech- 
selseitige Authentifizierung, indem zum einen das Compilerserverzertifikat 
332 durch die Chipkarte 10 gepriift wird, Schritt 701, zum anderen das in der 
Chipkarte 10 angelegte Zertifikat 132 durch den Compilerserver 30, Schritt 
702. 1st nach der w^echselseitigen Zertif ikatspriifung eine Weiterfiihrung des 
10 Datenaustausches moglich, generieren Chipkarte 10 und Compilerserver 30 
jeweils einen Sitzungsschliissel, Schritt 704 bzw. 706. 

Die in Fig. 7 veranschaulichte Ausf iihrungsf orm eignet sich besonders zur 
Online-Durchfuhrung. Nach Herstellung einer sicheren Datenverbindung 

15 zwischen Chipkarte 10 und Compilerserver 30 karm deshalb vorgesehen 
sein, daC der Nutzer unter einer Ausv^^ahl mehrerer moglicher Betriebsop- 
tionen zur Weiterbearbeitung eine Ausv^ahl treffen mufi. In diesem Fall sen- 
det der Compilerserver 30 nach Herstellung der sicheren Datenverbindung 
eine Anbietungsmitteilung iiber die m5glichen Betriebsoptionen an den 

20 Nutzercomputer 20, Schritt 708. Aus den mitgeteilten Optionen w^ahlt der 
Nutzer liber den Nutzercomputer 20 die gewunschte aus, etw^a eine Pro- 
grammerstellung mit Online-Ubersetzung, Schritt 710, oder einen Debug- 
Modus, in dem die Ausfiihrbarkeit eines neu erzeugten Programmcodes on- 
line festgestellt wird. 

25 

Zur Erhehung der Sicherheit der Dateniibertragung zum Compilerserver 30 
karm nachf olgend optional eine Signatur des Programmquelltextes Q durch 
die Chipkarte 10 vorgesehen sein, Schritt 711. Die Signatur erfolgt in an sich 
bekannter Weise, indem die Chipkarte 10 iiber den Quelltext Q einen Hash- 
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wert bildet und diesen mit dem privaten Schltissel 130 der Chipkarte ver- 
schliisselt. Die Hashwertbildung kann dabei, insbesondere bei nicht ausrei- 
chenden Hardwareresourcen anf einer Chipkarte 10, durch den Nutzercom- 
puter 20 erf olgen. 

5 

Den, gegebenenf alls signierten Programmquelltextcode verschliisselt die 
Chipkarte 10 mit dem zuvor bestimmten Sitzungsschliissel SKssl zu einem 
Transportcode TQssl, Schritt 712, den sie anschliefiend iiber den Nutzercom- 
puter 20 an den Compilerserver 30 sendet, Schritt 714. 

10 

Jener entschlxisselt den eingegangenen Transportcode TQssl wieder mit dem 
Sitzungsschliissel SKses, Schritt 716, um den Programmquelltext Q wieder- 
herzustellen. Falls eine Signatur vorhanden ist, pruf t er durch erneute Bil- 
dung des Hashwertes unter Verwendung des Offentlichen Kartenschliissels 
15 332 deren Richtigkeit. 

Aus dem wiederhergestellten Programmquelltext Q erzeugt der Compiler- 
server 30 anschliefiend durch Ausfiihrung der Schritte 518, 520 einen aus- 
fiihrbaren Programmcode C. 

20 

Den erzeugten Prograiruncode C versieht der Compilerserver 30 mit einer 
Signatur, die er durch Bildung eines Hashwertes und Verschliisseln des 
Hashwertes mit dem privaten Schliissel 330 des Compilerservers 30 erzeugt. 
Den entstandenen, signierten Code verschliisselt er sodann mit dem offentli- 
25 Chen Schltissel 332 der Chipkarte 10, Schritt 718. Das danach vorliegende 
Chiffrat iiberfiihrt der Compilerserver 30 nachfolgend durch Verschlusseln 
mit dem Sitzungsschliissel SKses in ein Ubergangsf ormat Cssl, Schritt 720, 
das er als Transportcode schliefilich an den Nutzercomputer 20 iibermittelt, 
Schritt 722. 
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Dieser leitet den eingegangenen Transportcode Cssl an die Chipkarte 10 wei- 
ter, Schritt 724 welche daraus durch Entschliisselung mit dem Sitzungs- 
schlussel SKsEs wieder das Chiffrat des ausf iihrbaren Programmcodes gene- 
5 riert, Schritt 725. Falls der Programmcode C im Compilerserver 30 signiert 
wurde, entschliisselt die Chipkarte 10 das Chiffrat weiter mit dem privaten 
Schlussel 130 der Chipkarte 10 und priift die danach vorliegende Signatur 
mit dem offentlichen Schlussel 128 des Compilerservers 30, Schritt 726. 1st 
das Ergebnis der Signaturpriifung positiv, iSdt die Chipkarte 10 den somit 
10 vorliegenden ausfuhrbaren Programmcode C in die Speicheranordung 104 in 
den zur Aufnahme von Komplettierungsprogrammcode vorgesehenen Spei- 
cherraum 113, Schritt 728. 

Wie bei der Ausfiihrungsform nach Fig.5 wurde der in Fig. 7 dargestellte 
15 Verfahrensablauf der Klarheit wegen sequentiell beschrieben. Praktisch ist es 
jedoch sinnvoU, Verfahrensschritte, fiir die das mOglich ist, quasiparallel 
auszufiihren, indem Compilerserver 30 und Chipkarte 10 sie zeitlich liberla- 
gernd ausfiihren. Das gilt z.B. fiir die Schritte 712 bis 716, d.h. die chipkar- 
tenseitige Verschliisselung und die compilerserverseitige Wiederherstellung 
20 des Programmquelltextes Q. Sie erfolgen zweckmafiig in Form eines konti- 
nuierlichen, quasiparallelen Datenaustausch- und verarbeitungsprozesses, so 
dais der Programmquelltext Q nahezu unmittelbar nach Absendung des letz- 
ten Datensatzes durch die Chipkarte 10 im Compilerserver 30 vorliegt. Eine 
Zwischenspeicherung bis zum vollstandigen Eingang des Programmquell- 
25 text Q erf olgt nicht. Weiter bietet sich eine Realisierung in Gestalt eines kon- 
tinuierlichen, quasiparallelen Datenaustausch- und verarbeitungsprozesses 
auch fiir die Schritte 718 bis 728 an, d.h. fiir die compilerserverseitige Ver- 
schliisselung des ausfiihrbaren Programmcodes C und seine chipkartenseiti- 
ge Wiederherstellung sowie das Laden in den Speicherraum 113 auf der 
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Chipkarte 10. Die Ausfiihrung dieser Schritte durch Compilerserver 30 und 
Chipkarte 10 erfolgt zweckmafiig ohne Zwischenspeicherung unmittelbar 
datensatzweise, so dafi der ausfiihrbare Programmcode C im wesentlichen 
unmittelbar nach Absendung des letzten Transportcodedatensatzes durch 
5 den Compilerserver 30 im Speicher der Chipkarte 10 vorliegt. 

Im Rahmen einer Programmerstellung gemafi einer der vorstehend be- 
schriebenen Ausfiihrungsformen kann die Durchfuhrung einer Debug- 
Routine vorgesehen sein. Damit wird ein durch den Compilerserver 30 er- 
10 stellter Programmcode C vor dem Laden auf eine Chipkarte 10 auf Lauffa- 
higkeit gepriift. Das Prinzip einer solchen Debug-Routine ist in Fig. 8 veran- 
schaulicht, wobei zur Vereinfachung der Beschreibung die zur Sicherung der 
Dateniibertragung gerichteten MaCnahmen, d.h. vor allem die verschiede- 
nen Verschliisselungen, nicht gezeigt sind. 

15 

Die Debug-Routine ist als Programm 316 im Compilerserver 30 angelegt und 
wird auch dort ausgefiihrt. Zusatzlich oder als Bestandteil des Programmes 
316 beinhaltet sie eine einen Datentrager nachbildende Hardware zur Simu- 
lation und/ Oder eine softwaremafiige Nachbildung eines Datentragers zur 

20 Emulation eines erzeugten Programmes auf dem Compilerserver 30 unter 
den auf dem Datentrager vorhandenen technischen Randbedingungen. Ge- 
steuert wird sie, nach Einstellung eines entsprechenden Betriebsmodus im 
Compilerserver 30, liber den Editor 22 im Nutzercomputer 20. Die Betriebs- 
moduseinstellung karm z.B. im Rahmen der Auswahl einer Betriebsoption in 

25 den Schritten 708 und 710 erfolgen, wenn die Programmerstellung gemafi 
der in Fig. 6 dargestellten Ausfiihrungsform vorgenommen wird. Der De- 
bug-Betriebsmodus gestattet es u.a., vom Nutzercomputer 20 aus ein im 
Compilerserver 30 erzeugtes Programm zu starten, Stopmarken zu setzen, 
Speicherbereiche anzuzeigen sowie Variablen auszulesen und zu setzen. 
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Ftir die Ausf iihrung der Debug-Routine wird zunachst in iiblicher Weise ein 
Programmquelltext Q erstellt, Schritt 504, und eine Verbindung zum Com- 
pilerserver 30 auf gebaut, Schritt 700. Anschliefiend wird der Quelltext Q 
5 gemaC einer der zuvor beschriebenen Ausfiihrungsformen an den Compiler- 
server 30 iibermittelt, Schritt 800. 

1st der Quelltext Q eingegangen, bietet der Compilerserver 30 dem Nutzer 
die Erzeugung eines Programmcodes C im Debug-Betriebsmodus an, Schritt 

10 802. Ein Nutzer kann den Modus darauf iiber den Nutzercomputer 20 aus- 
wahlen, Schritt 804. Wurde der Debug-Betriebsmodus gewahlt, erstellt der 
Compilersetver 30 aus dem eingegangenen Programmquelltext Q durch 
Ausftihrung der Schritte 526, 528 einen vorlauf igen Programmcode Cv, der 
auf der im Compilerserver 30 vorhandenen Simulations- und/oder Emulati- 

15 onsumgebung lauffahig ist. Den vorlSufigen Programmcode Cv speichert der 
Compilerserver 30 in einen Zwischenspeicher, Schritt 806. AnschlieCend 
ubermittelt er dem Nutzercomputer 20 eine Erstellungsmeldung, Schritt 808, 
die dieser zur Anzeige bringt, Schritt 810. 

20 Der Nutzer kann das Quell textprogramm Q nun mittels des Nutzercompu- 
ters 20 mit Debug- Anweisungen versehen, d.h, Stopmarken setzen, die Aus- 
ftihrung eines Programmes in Einzelschritten oder das Anzeigen von Varia- 
blen veranlassen, Schritt 812. Die Debug- Anweisungen werden dem Com- 
pilerserver 30 mitgeteilt. 

25 

Nachf olgend kann uber den Nutzercomputer 20 die Ausfuhrung des durch 
den vorlaufigen Programmcode Cv realisierten Programmes auf dem Com- 
pilerserver 30 ausgelOst werden, Schritt 814. Der Compilerserver 30 fuhrt 
darauf das Programm unter Berucksichtigung der zuvor mitgeteilten Debug- 
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Anweisungen aus, Schrii± 816. Jeweils nach Ausfiihrung eines durch die De- 
bug- Anweisungen f estgelegten Programmabschnittes ubermittelt er eine Er- 
gebnismeldUng an den Nutzercomputer 20, Schritt 818, die dieser zur An- 
zeige bringt, Schritt 820. Abhangig von den iibergebenen Debug- 
5 Anweisungen kann darauf ein Eingriff eines Nutzers in die Programmaus- 
f lihrung vorgesehen sein, etwa durch Eingabe von Variablen oder durch Set- 
zen neuer Debug- Anweisungen, Schritt 822. Gegebenenfalls vorgenommene 
Eingriffe in den Programmquelltext Q oder neue Debug- Anweisungen, 
ubermittelt der Nutzercomputer 20 dem Compilerserver 30. 1st eine Debug- 

10 Anweisung schliefilich abgearbeitet, ubermittelt der Nutzercomputer 20 dem 
Compilerserver 30 ein Fortsetzungssignal, Schritt 824, auf das hin jener 
durch Wiederholung des Schrittes 814 die Ausfiihrung des nachsten Pro- 
grammabschnittes veranlalSt. Dabei berucksichtigt er eventuell vorgenom- 
mene Eingriffe in den Programmquelltext Q oder neue Debug- 

15 Anweisungen. Die Schritte 814 bis 824 werden wiederholt, bis der Compiler- 
server 30 ein durch einen vorlaufigen Programmcode Cy realisiertes Pro- 
gramm voUstandig ausgef lihrt hat. 

Erweist sich das Programm schliefilich als fehlerfrei lauffahig, veranlaiSt der 
20 Nutzer uber den Nutzercomputer 20 einen Wechsel des Betriebsmodus in 
den Standard-Modus, Schritt 826. Der Compilerserver 30 erzeugt daraufhin 
aus dem zu diesem Zeitpunkt vorliegenden Programmquelltext Q einen 
lauffahigen Programmcode C und iibertragt diesen wie anhand der Fig. 4 bis 
6 beschrieben tiber den Nutzercomputer 20 an die Chipkarte 10, Schritt 828. 
25 Desweiteren loscht er den zwischengespeicherten, vorlaufigen Pro- 
grammcode Cv, Schritt 830 

Die vorstehend beschriebene Folge von Ausftihrungsbeispielen ist jeweils als 
Basis fur eine konkrete Verfahrensrealisierung zu verstehen. Unter Beibehal- 
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tung des grundlegenden Ansatzes, zur Erzielung einer sicheren Program- 
merstellung vorkomplettierte Datentrager zu verwenden, sind die Ausfiih- 
rungsbeispiele jeweils in einem weiten Rahmen ausgestaltbar. Dies gilt ins- 
besondere fiir die Ausfiihrung der Strukturelemente, d.h. der Chipkarte , des 
5 Nutzercomputers, des Datennetzes und des Compilerservers. Welter konnen 
die genanntjen Verschliisselungs- und Authentifizierungsverf ahren selbst- 
verstandlich durch andere mit gleicher Sicherheitswirkung ersetzt werden. 
Alle beschriebenen Ausftihrungsformen lassen sich insbesondere durch die 
Verwendung weiterer Schlxissel, SequenzzShler oder anderer kryptografi- 

10 scher Algorithmen auf eine nochmals erhohte Sicherheitsstufe bringen. Aus 
techrdschen oder aus Sicherheitsgriinden konnen auch weitere Umformatie- 
rungen vorgesehen sein. So ist es insbesondere bei programmierbaren Chip- 
karten mit Blick auf deren begrenzten Speicherplatz tiblich, einen auf einem 
Compilerserver 30 erzeugten lauffahigen Programmcode vor oder beim La- 

15 den in die Chipkarte nochmals speicheroptimierend umzuformatieren, in- 
dem beispielsweise symbolische Referenzierungen durch absolute Adressen 
ersetzt werden. Aus Griinden der Ubersichtlichkeit wurden ferner jeweils 
nur Gutfalle beschrieben. Die Behandlung von Fehlerf alien lafit sich daraus 
jedoch unter Verwendung bekannter Standardlosungen ableiten. 
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Patentanspruche 

1. Verfahren zur verteilten Erstellung eines ausfiihrbaren Programmes fur 
einen programmierbaren, tragbaren Datentrager, wobei die Erstellung 

5 eines Programmquelltextes auf einem ersten, bei einem Nutzer befindli- 

chen Computer, Compilieren und Linken des Programmquelltextes zu 
einem ausfiihrbaren Programmcode nach Ubertragung auf einem zwei- 
ten, beim Herausgeber des Datentragers bef indlichen Computer, und das 
Laden des ausfiihrbaren Programmcodes in den Datentrager nach Riick- 
10 ubertragung wieder tiber den ersten Computer erfolgt, dadurch gekenn- 

zeichnet^ da& 

in einem Vorkomplettierungsschritt auf dem Datentrager (10) Software- 
werkzeuge zur Endbearbeitung angelegt werden, die es erlauben, aus ei- 
15 nem in einem Ubergangsformat vorliegenden Transportcode (U, UCsm, 

CssL,) einen ausfiihrbaren Programmcode (C) zu gewinnen, 

im zweiten Computer (30) erzeugter, ausfiihrbarer Programmcode (C) fiir 
die Riickiibertragung in Transportcode (U, UCsm, Cssl,) umgewandelt 
20 wird, und 

an den ersten Computer (20) zur Einbringung in den Datentrager (10) 
riickiibertragener Transportscode (U, UCsm, Cssl,) mittels der Software- 
werkzeuge in ausfiihrbaren Programmcode (C) riickgewandelt wird. 

25 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der auf dem 
ersten Computer (20) erstellte Programmquelltext (Q) fiir die Ubertragung 
zum zweiten Computer (30) eine Transportsicherung erhalt, indem er ver- 
schliisselt wird. 

30 
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3. Verfahreh nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge eine einen Datentrager (10) bezeichnende Identifikationinforma- 
tion (114) sowie einen Signaturschliissel (124) beinhalten. 

5 4. Verfahxen nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge ein Programm zur Durchfiihrung eines SSL-Handshake- 
Protokolls (122) und /oder ein Programm zur Durchfiihrung von Secure- 
Messaging (120) beinhalten. 

10 5. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi die Software- 
werkzeuge einen privaten Datentragerschltissel (130) sowie ein Programm 
zur Priifung einer Signatur mit dem offentlichen Schliissel (128) eines zwei- 
ten Computers (30) beinhalten. 

15 6. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi in den tragba- 

ren Datentrager (10) zu ladender, ausfiihrbarer Programmcode (C) unter 
Einbeziehung des zweiten Computers (30) ausgef iihrt wird, um mogliche 
Fehler zu ermitteln. 

20 7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi in den tragba- 
ren Datentrager (10) zu ladender, ausfiihrbarer Programmcode (C) auf dem 
zweiten Computer (30) unter Einbeziehung des ersten Computers (20) ausge- 
fiihrt wird. 

25 8. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der ausfiihrba- 
re Programmcode (C) im Speicher (113) des Datentragers (10) abgelegt wird. 
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9, Programmierbarer tragbarer Datentrager mit einem integrierten Schalt- 
kreis, welcher einen Prozessor sowie einen Speicher zur Aufnahme von 
durch den Prozessor ausfiihrbarem Programmcode aufweist, dadurch ge- 
5 kennzeichnet, dafi in dem integrierten Schaltkreis (12) Softwarewerkzeuge 
zur Endbearbeitung angelegt sind, die es ermoglichen, einen in einem Uber- 
gangsformat zugefiihrten Transportcode (U, UCsm, Cssl) in ausfuhrbaren 
Programmcode (C) zu iiberfiihren. 

10 10. Datentrager nach Anspruch 9, dadurch gekennzeichnet, daS er werug- 
stens einen Sequenzzahler (136) aufweist. 

11. Datentrager nach Anspruch 9, dadurch gekeiinzeichnet, daS er eine den 
Datentrager (10) bezeichnende Identifikationsinformation (114) sowie einen 

15 Schltissel (124) zur Bildung eines Datensicherungscodes enthalt, welche ihn 
einem def inierten zweiten Computer (30) zuordnen. 

12. Computer zur Durchfiihrung einer verteilten Erstellung eines ausfuhrba- 
ren Programmes fur einen programmierbaren, tragbaren Datentrager, ent- 

20 haltend zumindest ein Compilierungsprogramm sowie ein Linkprogramm 
(312), dadurch gekennzeichnet, dafi er iiber Mittel verfiigt, um aus einen 
zugegangenen, in einem Ubergangsformat vorliegenden Transportcode (T, 
TQ, TQssL,) einen Programmquelltext (Q) riickzugewinnen. 

25 13. Computer nach Anspruch 12, dadurch gekennzeichnet, dafi er Mittel 
aufweist, um die Identitat eines zu programmierenden DatentrSgers (10) 
festzustellen und zu uberprtif en. 
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14. Computer nach Anspruch 12, dadurch gekennzeichnet, daC er eine Ta- 
belle (340) fiihrt, in der fiir jeden tragbaren DatentrSger (10), der mittels des 
Computers (30) programmierbar ist, eine den Datentrager bezeichnende 
Identifikationsinformation (114) abgelegt ist. 

5 

15. Computer nach Anspruch 12, dadurch gekennzeichnet, dalS er iiber Mit- 
tel (321) zur formalen Verifikation eines durch Compilierung erzeugten Pro- 
grammcodes (C) aufweist. 

10 16. Computer nach Anspruch 12, dadurch gekennzeichnet, daC er iiber Mit- 
tel (316) verfiigt, um einen erzeugten Programmcode (C) durch unmittelbare 
Ausfiihrung darauf zu priif en, ob er Fehler enthah. 

17. Computer zur Durchfiihrung einer verteilten Erstellung eines ausfuhrba- 
15 ren Programmes fiir einen programmierbaren, tragbaren Datentrager, ent- 
haltend zumindest eine erste Schnittstelle fiir einen Datenaustausch mit ei- 
nem Datentrager sowie eine zweite Schnittstelle zu einer Datenverbindung, 
dadurch gekennzeichnet, dalS 

20 er Mittel aufweist, um ein Editierungsprogramm (22) zur Erstellung eines 

durch den Computer (20) selbst nicht ausf tihrbaren Programmquelltextes 
(Q) auszufiihren, 

und dais er Mittel aufweist, um iiber die erste und die zweite Schnittstelle 
25 (24, 26) eine direkte Dateniibertragung zwischen einem tragbaren Daten- 

trager (10) und einem iiber die Datenverbindung (28) angeschlossenen, 
zweiten Computer (39) zu ermSglichen. 
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18. Computer nach Anspruch 17, dadurch gekennzeichnet, da& er Mittel 
auf weist, um ein SSL-ProtokoU auszufiihren. 

19. System zur verteilten Erstellung eines ausfuhrbaren Programmes fiir ei- 
5 nen programmierbaren, tragbaren Datentrager, beinhaltend einen trag- 

baren Datentrager gemafi Anspruch 9 sowie einem Computer gemaJG 
Anspruch 12. 

20. System nach Anspruch 20, dadurch gekennzeichnet, dafi es weiterhin ei- 
10 nen Computer gemafi Anspruch 17 umfafit. 
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